如何爲×××選擇合適的動態密碼雙因素認證方案？

北京中科恆倫科技有限公司CKEY動態密碼認證是雙因子認證的一種方式，×××用戶增加動態密碼認證，藉助此方案可以提升×××遠程撥入安全，加強登陸用戶審計。
     CKEY爲×××提供短信密碼、硬件令牌、軟件令牌、短信密碼+硬件令牌混合四種雙因素認證方案，相比傳統×××採用硬件令牌或USB KEY方式在便攜性及用戶體驗都有其瑕疵，該方案可滿足不同類型企業對於安全性、便捷性、可管理性、成本多種考慮，廣泛被政府、運營商、金融、製造業、內外資企業等不同領域所採納。
與傳統方式相比，北京中科恆倫科技有限公司提出四種×××結合動態密碼雙因子認證建議解決方案，供選型參考。　
    描述：
　　Ø 通過在 ×××配置第三方認證(RADIUS)，指向CKEY動態密碼認證服務器(內置RADIUS SERVER)，用戶通過×××撥入進行帳號+密碼認證，通過之後獲取動態密碼(令牌產生/短信接收)，進行二次驗證，通過之後即放行。
　　方案1：短信認證
　　該×××的雙因子認證技術是基於短消息發送動態密碼的方式，IT管理員會爲每個×××用戶綁定其手機號。
　　短信密碼通過短信方式將包含隨機密碼的文本發送至用戶手機上，通常用戶會隨身攜帶手機，無需攜帶額外硬件，無需安裝軟件，因此它是安全與便捷緊密結合的雙因子認證解決方案。
　　1.1 認證流程
　　×××結合CKEY短信密碼認證，通常 ×××帳號是託管在AD/LDAP中，在完成域帳號認證之後，認證服務器會隨機生成一個一次性密碼並通過短信網關發送到用戶手機上，用戶輸入至二級認證框並提交驗證後才能完成認證;
這是域賬戶和動態密碼的雙重認證，因而能夠很有效的保證賬戶信息的安全性。
　　用戶登錄認證的流程如下：
　　1. 用戶在網絡接入設備 ×××(撥號客戶端or Web)提供的登錄頁面中輸入用戶的帳號口令;
　2. ×××通過radius協議將帳號和加密後的口令提交給radius動態短信認證系統進行認證，通過再通知×××彈出二級認證頁面，並觸發短信至用戶手機上;
　　3. 用戶收到動態口令短信之後在提供的進一步輸入動態口令的頁面中輸入動態密碼，並提交後，再通過radius協議將動態密碼傳輸給radius系統做進一步認證。
　　1.2 優缺點分析
　　優勢：
　　(1) 無需攜帶額外設備
　　(2) 安全便捷
　　(3) 管理成本低
　　(4) 適合登陸頻度不高的用戶移動辦公
　　(5) 實現基於手機審計
　　(6) 永久使用，節省認證終端更換成本
　　劣勢：
　　(1) 短信可能出現延時或丟失
　　(2) 手機欠費、無手機信號(如國外出差)，則無法正常使用
　　方案2：動態令牌
　　該×××的雙因子認證技術是基於硬件令牌方式，IT管理員會爲每個×××用戶分配分發一枚令牌，×××用戶登錄時輸入靜態密碼+令牌上顯示的6位隨即數字，即可完成登錄，是目前最爲常用的強身份認證方案。
　　動態令牌是一種硬件形式動態密碼生成器，主流是基於時間型，其每隔60秒變化一個密碼，密碼一次性使用有效，另外由於密碼生成及使用與用戶終端無關，用戶採用筆記本、智能機、平板都可以方便使用動態密碼認證。
　　它最大優點在於認證響應度高，密碼產生物理隔離，然而採用此種方式用戶需攜帶額外硬件設備，移動辦公用戶可能由於忘記攜帶或者丟失導致無法認證情形。
　　2.1 認證流程
　　可採用兩種方式：
　　(1) 同上，短信認證流程。
　　(2) 採取密碼+動態密碼組合方式，一級認證。
　　2.2 優缺點分析
　　優勢：
　　(1) 使用便捷
　　(2) 高安全
　　(3) 業務響應度高
　　(4) 認證高可靠性
　　(5) 適合登陸頻度較高的用戶
　　劣勢：
　　(1) 令牌生命週期，3年需更換
　　(2) 有物流及發放管理，因此管理成本較高
　　方案3：短信密碼 + 動態令牌混合認證
　　該×××的雙因子認證技術是基於硬件令牌、短信密碼混合認證方式，兼顧兩種認證手段的特點，可以實現一個×××用戶同時綁定短信和令牌兩種認證手段，易可實現分別爲×××用戶分配短信密碼和令牌其中一種方式，滿足不同用戶的雙因子認證需求。
　　3.1 認證流程
　　同短信認證。
　　3.2 優缺點分析
　　優勢：
　　(1) 結合短信密碼和動態令牌的兩種優點
　　(2) 高可靠性
　　(3) 根據用戶使用場景，選擇相應的認證手段
　　劣勢：
(1)管理員需管理兩種認證終端。
 
    方案4：手機app軟件令牌認證
　　該×××的雙因子認證技術是基於手機app軟件令牌認證方式，CKEY手機令牌是安裝在智能手機的動態密碼生成軟件，其每隔30秒產生一個隨機密碼，且一次使用有效，功能等同於傳統硬件令牌，其突破了硬件令牌的3年期壽命顯示，可以安裝在iOS、Andriod、Windows Phone7平臺上。 
     由於手機令牌動態密碼產生及使用過程中無需手機聯網、無需攜帶額外認證設備，越來越多企業嘗試採用這種安全、便捷的強認證技術。
　　3.1 認證流程
　　同硬件令牌、短信認證。
　　3.2 優缺點分析
　　優勢：
　　(1) 直接安裝在智能手機終端設備上；結合短信密碼和動態令牌的兩種優點
　　(2) 高可靠性
　　(3) 使用過程中無需手機聯網、無需攜帶額外認證設備